FreeBSD:asterisk -- TLS 证书公用名空字节利用 (5fee3f02-de37-11e4-b7c3-001999f8d30b)

medium Nessus 插件 ID 82650

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Asterisk 项目报告:

Asterisk 注册到 SIP TLS 设备并且验证服务器后,Asterisk 将接受匹配公用名而非 Asterisk 预期的名称的签名证书(如果签名证书具有在 Asterisk 预期的公用名部分之后包含空字节的公用名)。例如,如果 Asterisk 尝试注册到 www.domain.com,Asterisk 将接受 www.domain.com\x00www.someotherdomain.com 形式的证书

解决方案

更新受影响的数据包。

另见

http://downloads.asterisk.org/pub/security/AST-2015-003.html

http://www.nessus.org/u?ab73694f

插件详情

严重性: Medium

ID: 82650

文件名: freebsd_pkg_5fee3f02de3711e4b7c3001999f8d30b.nasl

版本: 1.8

类型: local

发布时间: 2015/4/9

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.7

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:asterisk, p-cpe:/a:freebsd:freebsd:asterisk11, p-cpe:/a:freebsd:freebsd:asterisk13, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/4/8

漏洞发布日期: 2015/4/4

参考资料信息

CVE: CVE-2015-3008